Denne saken er original skrevet for Minervas papirutgave 4/2017.
Etter «Brexit» og valget i USA sto folk i kø for å forklare hvorfor meningsmålingene ikke stemte, hvordan alle hadde tatt feil, og hvorfor fake news, Facebook, filterbobler og databasert markedsføring hadde avgjort valgene. Fingrene ble pekt mot gigantene Facebook og Google, men også mot et lite, men for de fleste ukjent selskap ved navn Cambridge Analytica.
Cambridge Analytica er et britisk-amerikansk selskap som har både Steve Bannon og Robert Mercer, en amerikansk konservativ hedgefund-milliardær på eiersiden. Da blir det utvilsomt debatt. Selskapet skal ha vært sentralt i både Brexit-kampanjen i Storbritannia og i Donald Trumps presidentkampanje i USA, og markedsfører seg som et innovativt selskap som spesialiserer seg på profilering, dataanalyse og strategisk kommunikasjon for bedrifter og politikere. Ifølge selskapet har de psykometriske profiler på 220 millioner amerikanske innbyggere, hvor de også har kartlagt over 5000 datapunkter på alt fra helse og bileierskap til kjøpsvaner og interesser, samlet inn fra de digitale sporene vi legger igjen når vi beveger oss på nettet og bruker digitale produkter.
Cambridge Analyticas profiler ble brukt til å målrette og skreddersy hundretusenvis av tilpassede annonsebudskap i valgkampen, og har dermed kanskje også vært en av mange faktorer som påvirket utfallet. Der hvor Obama-kampanjen ble kjent for smart bruk av sosiale medier, er Trump-kampanjen blitt kjent for smart bruk av data.
Denne målrettede markedsføringen basert på store datagrunnlag har startet en stor debatt om og interesse for databasert markedsføring, profilering og personvern utenfor de vanlige kretser. Dette er ikke noe nytt for dem som driver med netthandel eller markedsføring på nett, men nå er det politikerne og folket som diskuterer. Nå er det ikke bare nerder som lenge har forstått hvor bra og effektivt, men også potensielt utfordrende, data kan være i vår nye hel-digitale verden. Men hvem er det som egentlig samler data om oss, hva vet de, og hva er forbrukernes holdninger til det? Jeg har de siste ti årene jobbet i denne bransjen, og i denne artikkelen skal jeg skrape litt i overflaten og prøve å forklare hvordan det hele egentlig henger sammen, og hvordan dataøkonomien faktisk fungerer.
Hvem samler data om deg?
Det finnes et mylder av store og små aktører som lagrer data om ditt nettbruk, din person og dine vaner — enten indirekte eller direkte. Besøker du et norsk nyhetsmedium i dag, vil ditt besøk umiddelbart registreres av et stort antall selskaper med kryptiske navn du sikkert ikke har hørt om før. Selskaper som Appnexus, Adtech, Brightroll, Moat, Criteo, Rocketfuel cXense, Doubleclick, Enreach, Quantcast, Discus, Tapad, Tradedesk, Facebook, Twitter og Google er alle representert på velkjente norske nettsider. I gjennomsnitt snakker din nettleser med hele 15 slike selskaper hver gang du besøker et norsk nyhetsmedium, og beveger du deg til store, internasjonale nettsteder, er tallet over det dobbelte.
Du ser ikke noe til dem på overflaten, men dykker du inn i din nettleser eller installerer programvare som overvåker dette, vil du se at alle disse selskapene har lagt igjen sine små spor på din datamaskin eller mobiltelefon. Slike cookies, eller informasjonskapsler som det heter på norsk, er små filer som nettleseren lagrer for å huske for eksempel at du er logget inn, hva du har i handlekurven eller dine favorittinnstillinger på nettsiden. Cookies er også en av metodene bransjen bruker for å spore kjøp og samle data om deg og dine vaner. Forenklet kan vi dele disse selskapene inn i fire kategorier, og du møter sannsynligvis alle sammen, enten indirekte eller direkte ved et besøk på norske nyhetsmedier, nettbutikker, blogger eller sosiale medier:
Teknologileverandører er typiske selskaper som leverer en eller annen teknologiløsning til nettstedet du besøker. Teknologiløsningen kan f.eks. være et kommentarsystem som Disqus som gjør det mulig å kommentere på artikler, et analyseverktøy fra Mixpanel som lar eieren av nettstedet overvåke bruken, eller Google Maps som lar nettstedet inkludere et kart i en artikkel. Selskapene leverer tjenester til mediene, men mange lever også av å samle data til egen bruk eller for å selge dem videre.
Annonseleverandører er typisk selskaper som leverer annonseteknologi til nettstedet du besøker. Det er teknologi som hjelper nettstedet du besøker, å vise en annonse til riktig tid og person, og hjelper annonsører å vurdere en kampanjes effektivitet. Et eksempel på slik teknologi kan være Google Doubleclick og AppNexus, som du finner på de fleste norske nettsteder. Annonseleverandørene er viktige i denne sammenheng, ettersom det er disse selskapene som gjør det mulig for annonsører å målrette annonser basert på data samlet fra andre kilder.
Dataminers og databrokers er selskaper som ikke leverer noen form for tjenester til mediet eller sluttbrukeren, men lever av å samle data om brukernes aktiviteter og gjøre dem tilgjengelig for annonsører, teknologiselskaper og andre som ønsker å kjøpe slike data. Slike selskaper sporer deler av våre liv gjennom å hente data fra mange kilder, og bruker mye ressurser på å slå sammen, kombinere og vaske data slik at de kan lage nøyaktige profiler på brukere. Dette kan være data om hva du leser på nett, hvilke nettsteder du besøker, hvor du reiser, hvor mye penger du bruker, offentlig tilgjengelig informasjon og mye, mye mer. Slike selskaper prøver også å kombinere din online- og offline-aktivitet for å skape et enda mer komplett bilde.
Eksempler på slike selskaper er omtalte Cambridge Analytica, IBM, Palantir, Axiom, Datalogix, Experian og Equifax. Sistnevnte ble nylig hacket, og lekket personlige finansielle data om hele 143 millioner amerikanere og 40 000 briter. Dette er en bransje som har fotfeste verden over, og deres tjenester blir stadig mer ettertraktet.
Plattform- og tjenesteleverandører er de store gigantene som Facebook, Google og Twitter, men også populære apper og tjenester som Snapchat, Tinder, LinkedIn og alle andre plattformer du bruker på nettet. De lar oss enkelt holde kontakt med våre venner gjennom sosiale nettverk, søke etter informasjon og lese nyheter, og leverer kanskje også hele operativsystemet på din mobiltelefon eller datamaskin. Samtidig er disse selskapene også strategisk plassert til å samle store mengder data om hva du gjør, hvor du er i verden, hva du søker etter, og hvem du har kontakt med. Disse selskapene har ikke bare tilgang til data på svært mange mennesker, men vi bruker også mye tid på tjenestene deres. Er en tjeneste eller app gratis, er det en god tommelfingerregel å anta at du betaler med dine data på en eller annen måte.
Våre liv digitaliseres
Samlet sett utgjør disse selskapene det man kan kalle dataøkonomien. De samler data og informasjon om deg som forbruker, og disse dataene er blitt handelsvare som selges, byttes og slås sammen — stort sett til kommersielle formål. Det de færreste nok tar inn over seg, er mengden av data som samles.
Det meste av våre liv digitaliseres, og alt fra geografisk lokasjon til helsedata som hjerterytme registreres jevnlig fra store deler av befolkningen gjennom «smarte» produkter. Vi beveger oss mot en verden hvor alt fra hårbørsten til kjøleskapet har en mikrofon, et kamera eller en sensor for i sanntid å registrere data, og alt er koblet opp mot internett. Vi som forbrukere kjøper og benytter frivillig produkter som, i bytte mot en smartere og enklere hverdag, får data om våre liv.
Noe av digitaliseringen og datainnsamlingen er åpenbar og forståelig for folk flest, men det er også veldig mye som ikke er det. Hva betyr det egentlig at en applikasjon på din mobiltelefon spør etter din geografiske lokasjon eller din adressebok? Hvor havner denne informasjonen, hvor lenge har jeg gitt noen tilgang til denne informasjon, og hva brukes den egentlig til?
En økende gruppe av forbrukere bry seg om dette, men for mannen i gata er dette fortsatt gresk og uforståelig. Noen slår på «privat modus» eller «Do Not Track»-innstillinger i nettleseren, og tror at det hjelper dem, men det gjør det ikke. Bransjen har brukt store ressurser på å sørge for at de også da greier å følge med på dine bevegelser.
Annonserevolusjonen
Datainnsamling kan høres «skummelt» ut, men i all hovedsak benyttes denne informasjonen enten til å forbedre produkter og funksjonalitet eller til å profilere deg som forbruker for å kunne målrette annonser. I stedet for generelle og ofte uinteressante annonser på en nettside er målet å vise deg mer relevante annonser og dermed gjøre annonseringen rimeligere og mer effektiv for annonsører. I teorien burde dette være en fordel for både forbrukere og annonsører. Det er en bedre opplevelse for en småbarnsfar å få annonser for barneprodukter enn det er det for en student på 20.
De siste årene har det skjedd en rekke teknologiske gjennombrudd som gjør datainnsamlingen og målrettingen lettere, billigere og mer tilgjengelig for alt fra de største selskapene i verden til den lokale kaffebaren på hjørnet. Der hvor annonsører før selv valgte ut nettsider man ønsket å annonsere på, ut fra en antatt målgruppe som besøkte denne nettsiden, målretter man nå annonser mot spesifikke individer — uavhengig av hvilket nettsted dette individet befinner seg på.
Bransjen har gått sammen om å bli enig om et felles sett med standarder som gjør det enkelt å utveksle data og kjøpe annonser. Gjennom det man kaller «programmatisk annonsering» og «Real Time Bidding» kan man i sanntid kjøpe annonser på stort sett et hvilket som helst nettsted i verden og målrette dem mot brukerne man treffer, og deres interesser.
Forfulgt av annonsører
Hvis en annonsør for eksempel ønsker å kjøpe annonser som retter seg mot menn i alderen 30–31 år som interesserer seg for miljø, og den siste tiden har befunnet seg i umiddelbar nærhet til Stortinget, så er det faktisk mulig. Når du som er bruker, besøker et nettsted, vil nettstedets annonseløsning i sanntid sjekke om det finnes annonserer som ønsker å kjøpe din profil.
Det er samme teknologi som gjør at den buksa du har sett på klesbutikken Zalando i dagevis, forfølger deg på Facebook, Google og alle andre steder du beveger deg på nettet. Denne type mikromålretting er også vesentlig mer effektiv enn vanlig annonsering, og dens popularitet er dermed raskt økende. Ifølge mediebyråforeningen i Norge er nå omlag 23 prosent av den digitale annonseringen «programmatisk», og dermed databasert.
For å kunne foreta databasert og programmatisk annonsering trenger annonsørene tilgang til data om brukere og gjerne detaljerte profiler. Det er her selskapene som vet mest om deg, kommer inn i bildet og gjør sine data tilgjengelige for annonsører. I utgangspunktet ikke skummelt, men når man begynner å få så detaljerte profiler at man med god sannsynlighet vet mer om forbrukerne enn de vet om seg selv, så er det ikke vanskelig å se problemene med dette.
Psykometriske profiler
Det viser seg nemlig at det, gitt de riktige dataene, ikke er vanskelig å bedrive omfattende psykometrisk profilering av forbrukere. Det vil si å bruke dataene man har om forbrukere til å anta hva slags psykometrisk profil dette individet passer inn i — typisk gjennom teorier som «The Big Five» eller OCEAN. «The Big Five», som mange har møtt på i diverse personlighetstester, antar at individers personlighet kan forstås ved fem dimensjoner som åpenhet, planmessighet ekstroverthet, medmenneskelighet og nevrotisme. Disse dimensjonene deles deretter inn i ytterligere seks personlighetstrekk, som omtenksomhet, selvdisiplin, tøyelighet og tillit.
IBM trenger ikke mer enn 100 av dine skrevne ord for å anta hvem du er.
Med slike psykometriske profiler kan man dermed anta mye om hva slags menneske du er, og skreddersy et budskap som passer denne antagelsen. Denne type profilering er vanlig, og hvem som helst kan tilegne seg slike muligheter gjennom f.eks. IBMs tjeneste Watson Personality Insights. IBM trenger ikke mer enn 100 av dine skrevne ord for å anta hvem du er, og peker du Watson til din Twitter-konto, greier den raskt å profilere deg etter The Big Five — i hvert fall hvis du er engelskspråklig. Når man greier å lage psykometriske profiler ut fra så lite som 100 skrevne ord, kan man bare begynne å anta hvor detaljerte profilene kan bli når man har så store datagrunnlag som for eksempel Facebook og Google besitter.
At slike profiler og data benyttes til å vise meg mer målrettede annonser, eller at en nettbutikk kan vise meg de buksene de antar passer min personlighet, er for de fleste ikke et problem. Men fra et teknisk standpunkt skiller ikke denne teknologien på gode og dårlige hensikter. Teknologien kan også spre falske nyheter på Facebook, slik vi nå ser konturene av at Russland har gjort under valget i USA. Frem til forrige måned var det mulig for annonsører å kjøpe segmentet «jøde-hater» hos både Facebook og Google. Det var en glipp ifølge Facebook, men et godt eksempel på hvordan aktører med dårlige hensikter gjennom databasert markedsføring kan nå individer på en svært overbevisende måte og dermed endre holdninger eller valgene disse individene tar.
Hva hvis forsikringsselskapene får tak i helsedata fra din smartklokke?
Og det gjelder ikke bare markedsføring. Denne type data og profiler kan også bli brukt utenfor annonseverdenen, og jeg tror vi i økende grad vil se noen svært interessante eksempler på det i fremtiden. Allerede nå vet vi at for eksempel forsikringsselskaper tester variabel prising på bilforsikring ut fra data som bilen din deler om din kjørestil. Kjører du aggressivt, går prisen opp, og kanskje vil de ikke ha deg som kunde i det hele tatt. Hva hvis forsikringsselskapene får tak i helsedata fra din smartklokke? Øker prisen på livsforsikringen din når de ser at du sitter altfor mye stille?
Veiskille underveis
Men ikke alle går samme vei. I EU implementeres det i nær fremtid en helt ny og vesentlig strengere personvernlovgivning ved navnet GDPR — General Data Protection Regulation. Den 25. mai neste år kommer denne lovgivningen til alle EU-land, inkludert Norge via EØS-samarbeidet. Loven, som mange mener er en direkte respons på Silicon Valleys dominans, gjør det mye vanskeligere for selskaper i dataøkonomien å samle data og profilere oss som forbrukere.
Hovedpunktene i den nye GDPR-lovgivningen er at selskapene nå må innhente eksplisitt samtykke til all bruk av informasjon de samler inn. De får ikke bruke informasjonen til annen bruk enn den er samlet inn for, og informasjonen skal slettes hvis ikke de trenger den lenger. Dette gjelder absolutt all informasjon som lagres om oss som forbrukere, inkludert IP-adresser, e-poster, nettsider vi besøker, annonser vi klikker på, og så videre. I tillegg må selskapene gjøre all informasjon de samler om oss, synlig, tilgjengelig, slettbar og flyttbar. Hvis du har brukt måneder på å fortelle Netflix om dine favorittfilmer i bytte mot gode anbefalinger, så skal du kunne ta med deg dataene over til HBO eller en annen videostrømmetjeneste. Du skal også kunne si til Netflix at du kun ønsker å se film, ikke bli profilert.
For selskaper hvor forbrukerne har et forhold til tjenestene selskapene leverer, for eksempel Facebook, Google, Twitter, Netflix, så er det mulig for dem å innhente det samtykket loven krever, men for mange av selskapene i dataøkonomien blir det mye vanskeligere. Vil forbrukere gi selskaper de aldri har hørt om, muligheten til å følge dem rundt på nettet? Hele forretningsmodellen til mange av disse selskapene er truet av GDPR, og bryter de loven, er konsekvensene store — potensielt kan boten utgjøre hele 4 prosent av selskapets globale omsetning. Men det er ikke bare lovgivning som truer dataøkonomien.
Apple selger personvern
Denne høsten kaster også verdens største teknologiselskap, Apple, grus i det velsmurte maskineriet til markedsføringsbransjen. I årets utgave av Apples populære nettleser Safari introduserer Apple noe de kaller for Intelligent Tracking Prevention, som skal begrense mulighetene annonsører har til å målrette annonser og samle data om dine nettvaner. Teknologien bruker såkalt maskinlæring til å identifisere hvilke selskaper som prøver å spore dine bevegelser på nettet, og blokkerer dem helt automatisk. Apple slår denne teknologien på som standard hos alle som denne høsten oppgraderer sine iPhones, iPads eller Mac-er til nyeste versjon.
Apple har i de senere årene posisjonert seg som en motpol mot Google, Facebook og andre teknologigiganter når det gjelder personvern, og selskapet har ved gjentatte anledninger vært svært tydelige på at de ikke benytter personlige data til markedsføring eller profilbygging. De har også gått vesentlig lenger enn noen andre selskaper i å beskytte sine kunders data gjennom kryptering av alt fra iMessage og FaceTime til selve telefonen. Dette har også medført en rekke offentlige disputter med myndigheter i flere land, sist i den veldig offentlige saken rundt FBIs opplåsing av iPhonen til terroristen bak San Bernardino-angrepet i 2015. Apple nektet å hjelpe FBI. Det var en svært upopulær avgjørelse i USA. Selskapet har siden denne saken gått enda lenger og gjort det tilnærmet teknisk umulig for dem å bistå myndigheter.
For Apple er personvern åpenbart blitt en del av deres produkt og markedsføring. Apple er kjent for å ta seg godt betalt for sine produkter, i en bransje hvor mange av deres konkurrenter som Google og Amazon selger sine produkter til tilnærmet kostpris, i bytte mot å få mest mulig av dataene dine. For Apple er fokuset på personvern dermed også en konkurransefordel. Apple kan markedsføre sine produkter med fokus på personvern, mens deres konkurrenters forretningsmodell basert på profilering ikke lar dem følge etter.
Samtidig er det mange som mener at Apple dermed heller ikke greier å lage «smarte» produkter som bruker persondata til å forstå sine brukere. Til syvende og sist handler dette nok vesentlig mer om posisjonering og markedsføring enn det handler om å faktisk å ta vare på forbrukernes interesser.
Mozilla, selskapet bak den populære nettleseren Firefox, har også meldt seg på i denne kampen. I høstens store oppdatering av Firefox introduserer Mozilla omtrent samme system som Apple, og de vil også aktivt blokkere for sporing og profilering av data. I tillegg har det også dukket opp en hel skog av mindre selskaper som leverer alt fra programvare som blokkerer annonser og sporing, til egen maskinvare og Wi-Fi-rutere som gjør samme jobben før annonsene og sporingen i det hele tatt når nettleseren din.
Vanskeligere å tjene penger
GDPR, teknologiske løsninger og skiftet fra datamaskiner til mobiltelefoner/nettbrett hvor tekniske endringer kan rulles ut raskt, bidrar til at det blir vesentlig vanskeligere å tjene penger på samling av data og profilering. Etablerte forretningsmodeller vil bli truet, og paradoksalt nok er det kanskje Facebook og Google som umiddelbart blir den største vinneren etter disse endringene. De har muligheten og makten til å raskt å få samtykke og gjøre de teknologiske endringene som sikrer deres forretningsmodeller.
Mange av våre medier kan derimot bli skadelidende eller tvinges over på forretningsmodeller som ikke er like avhengige av annonseinntekter. Mediene er avhengige av å få høyest mulig pris for sine annonser, og annonsører er villige til å betale mer for svært målrettet trafikk enn for trafikk som ikke er målrettet. Ettersom GDPR og nye tekniske løsninger reduserer muligheten for å målrette annonser, reduseres også prisen for annonser hos disse mediene.
Innføringen av GDPR og de tekniske løsningene som skal blokkere for sporing og profilering, vitner også om en bransje som ikke har greid å ta sitt ansvar alvorlig. Dagens profilering er nødvendigvis ikke et problem når det er gjennomsiktig. Men at det er bortimot umulig å finne ut hva slags data som lagres, hvem som lagrer dem, hvor de ender opp og hva de blir brukt til, er et stort problem. Både for den enkeltes personvern og, som vi har sett de siste månedene, for våre demokratier.
Som en liberal teknologioptimist skulle jeg ønske bransjen hadde greid å løse sine utfordringer uten reguleringer, men ettersom dette er en global bransje med også et globalt sett med lover og ikke minst holdninger, er det sannsynligvis en optimistisk tanke. Bransjen har i stor grad vært drevet frem av nerder og teknologer som i fascinasjon av store mengder data kanskje har glemt det menneskelige aspektet bak det hele, og hva slike data kan brukes til — både nå og i fremtiden.
Denne saken er original skrevet for Minervas papirutgave 4/2017.